小弟问下,《rootkits-windows内核的安全防护》一书中进程隐藏的方法,
plist_active_procs = (LIST_ENTRY *)(eproc+FLINKOFFSET);
*((DWORD *)plist_active_procs->Blink) = (DWORD)plist_active_procs->Flink;
*((DWORD *)plist_active_procs->Flink+1) = (DWORD)plist_active_procs->Blink;
就是把链表断开。
用RkUnhooker能看见,并且显示hidden from windowsAPI。
问题1:这个状态RkUnhooker是怎么检测到的?
问题2:RkUnhooker显示自己的进程是not accessible from user mode,这个是怎么实现的?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
